Arbiträre Ausführung von RFC-Funktionen über BBP_PDH_PO_RESUBMIT
Auswirkungen auf das Geschäft
Diese Sicherheitslücke ermöglicht es einem Angreifer, jede im System vorhandene Funktion auszuführen. Wenn es also beispielsweise eine Funktion gibt, mit der Dateien gelöscht oder überschrieben oder Betriebssystembefehle ausgeführt werden können, könnte dies zu einer Beeinträchtigung des Geschäftsbetriebs bis hin zu einem Denial-of-Service-Angriff führen.Details zur Sicherheitslücke
In SAP CRM – Versionen 700, 701, 702, 712, 713 – kann ein Angreifer, der mit einer nicht-administrativen Rolle und einer allgemeinen Berechtigung zur Remote-Ausführung (S_RFC) authentifiziert ist, eine anfällige Schnittstelle (BBP_PDH_PO_RESUBMIT) nutzen, um Aktionen auszuführen, zu denen er normalerweise nicht berechtigt wäre. Je nach der ausgeführten Funktion kann der Angriff begrenzte Auswirkungen auf die Vertraulichkeit und Integrität nicht kritischer Benutzer- oder Anwendungsdaten sowie auf die Verfügbarkeit der Anwendung haben.Lösung
SAP hat den SAP-Hinweis 3309056 veröffentlicht, der gepatchte Versionen der betroffene Komponenten. Die Patches können heruntergeladen werden unter https://me.sap.com/notes/3309056 Onapsis empfiehlt SAP-Kunden dringend, die entsprechenden Sicherheitskorrekturen zu erstellen und diese auf die betroffenen Komponenten anzuwenden, um Geschäftsrisiken minimieren.Zeitachse des Berichts
- 24.01.2023: Onapsis meldet SAP eine Sicherheitslücke
- 11.04.2023: SAP veröffentlicht den Patch.
Literaturverzeichnis
- Onapsis-Blogbeitrag: https://onapsis.com/blog/sap-patch-day-april-2023/
- CVE Mitre: https://www.cve.org/CVERecord?id=CVE-2023-27897
- Hersteller-Patch: https://me.sap.com/notes/3309056
Hinweise
- Veröffentlichungsdatum: 26.08.25
- Sicherheitshinweis-ID: ONAPSIS-2024-0044
- Forscher: Ignacio Oliva
Informationen zur Sicherheitslücke
- Anbieter: SAP
- Betroffene Komponenten:
- SAP BBPCRM 700, 701, 702, 712, 713 (Ausführliche Informationen zu den betroffenen Releases finden Sie im SAP-Hinweis 3309056)
- Schwachstellenklasse: CWE-94: Unsachgemäße Control Codegenerierung („Code-Injection“)
- CVSS v3-Bewertung: 6,0 (AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:L)
- Risikostufe: Mittel
- Zugewiesene CVE-Nummer: CVE-2023-27897
- Informationen zum Hersteller-Patch: SAP-Sicherheitshinweis 3309056
Betroffene Komponenten – Beschreibung
Diese Sicherheitslücke betrifft Systeme mit SAP CRM in den Versionen 700, 701, 702, 712 und 713Über unsere Forschungslabore
Onapsis Research Labs bietet Branchenanalysen zu zentralen Sicherheitsfragen, die sich auf geschäftskritische Systeme und Anwendungen auswirken. Onapsis Research Labs veröffentlichen regelmäßig aktuelle Sicherheits- und Compliance-Hinweise mit entsprechenden Risikoeinstufungen und Onapsis Research Labs fundiertes Fachwissen und langjährige Erfahrung, um der breiteren Informationssicherheits-Community technische und geschäftliche Einblicke sowie fundierte Sicherheitsbeurteilungen zu liefern.Alle gemeldeten Sicherheitslücken finden Sie unter: https://github.com/Onapsis/vulnerability_advisories
Dieser Hinweis unterliegt einer Creative Commons 4.0 BY-ND International-Lizenz